Назначение меток конфиденциальности группам Microsoft 365 в идентификаторе Microsoft Entra
Идентификатор Microsoft Entra поддерживает применение меток конфиденциальности
Метки конфиденциальности можно применять к группам в приложениях и службах, таких как Outlook, Microsoft Teams и SharePoint. Дополнительные сведения см. в разделе Поддержка меток конфиденциальности в документации по Purview.
Важный
Чтобы настроить эту функцию, в вашей организации Microsoft Entra должна быть активна по крайней мере одна лицензия Microsoft Entra ID P1.
Включение поддержки меток конфиденциальности в PowerShell
Чтобы применить опубликованные метки к группам, необходимо сначала включить эту функцию. Эти действия позволяют включить функцию в идентификаторе Microsoft Entra. Пакет SDK Для Microsoft Graph PowerShell поставляется в двух модулях, Microsoft.Graph
и Microsoft.Graph.Beta
.
Все управляемые корпорацией Майкрософт регионы должны выбрать корпорацию Майкрософт. Все остальные регионы должны выбрать свой оператор, если он указан.
Откройте окно PowerShell на вашем компьютере и установите модули Graph, необходимые для запуска командлетов.
Install-Module Microsoft.Graph -Scope CurrentUser Install-Module Microsoft.Graph.Beta -Scope CurrentUser
Подключитесь к арендатору.
Connect-MgGraph -Scopes "Directory.ReadWrite.All"
Получение текущих параметров группы для организации Microsoft Entra и отображение текущих параметров группы.
$grpUnifiedSetting = Get-MgBetaDirectorySetting | Where-Object { $_.Values.Name -eq "EnableMIPLabels" } $grpUnifiedSetting.Values
Если для этой организации Microsoft Entra не были созданы параметры группы, вы получите пустой экран. В этом случае необходимо сначала создать параметры. Следуйте шагам, описанным в командлетах Microsoft Entra для настройки параметров группы, чтобы создать параметры группы в этой организации Microsoft Entra.
Заметка
Если метка конфиденциальности была включена ранее, вы увидите
EnableMIPLabels = True
. В этом случае вам ничего не нужно делать. Кроме того, если вы не хотите, чтобы пользователи, не являющиеся администраторами, могли создавать группы, убедитесь, чтоEnableGroupCreation = False
. См. параметры шаблона для получения дополнительных сведений.Примените новые параметры.
$params = @{ Values = @( @{ Name = "EnableMIPLabels" Value = "True" } ) } Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params
Убедитесь, что новое значение присутствует.
$Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id $Setting.Values
Если вы получаете ошибку Request_BadRequest
, это связано с тем, что параметры уже существуют в арендаторе. При попытке создать новую пару property:value
результатом является ошибка. В этом случае выполните следующие действия.
- Выполните
Get-MgBetaDirectorySetting | FL
командлет и проверьте идентификатор. Если присутствуют несколько значений идентификаторов, используйте тот, где отображается свойствоEnableMIPLabels
в параметрах Значения. - Выполните командлет
Update-MgBetaDirectorySetting
с помощью полученного идентификатора.
Кроме того, необходимо синхронизировать метки конфиденциальности с идентификатором Microsoft Entra. Инструкции см. в разделе Включение меток конфиденциальности для контейнеров и синхронизация меток.
Назначение метки новой группе в Центре администрирования Microsoft Entra
Войдите в центр администрирования Microsoft Entra с правами администратора групп.
Выберите Microsoft Entra ID.
Выберите Группы>Все группы>Создать группу.
На странице Новая группа выберите Microsoft 365. Затем заполните необходимые сведения для новой группы и выберите метку конфиденциальности из списка.
Выберите Создать, чтобы сохранить изменения.
Ваша группа создается, а параметры сайта и группы, связанные с выбранной меткой, затем автоматически применяются.
Назначение метки существующей группе в Центре администрирования Microsoft Entra
Войдите в центр администрирования Microsoft Entra с правами администратора групп.
Выберите Microsoft Entra ID.
Выберите групп.
На странице Все группы выберите группу, которую нужно пометить.
На странице выбранной группы выберите Свойства и выберите метку конфиденциальности из списка.
Выберите Сохранить, чтобы сохранить изменения.
Удаление метки из существующей группы в Центре администрирования Microsoft Entra
- Войдите в центр администрирования Microsoft Entra с правами администратора групп.
- Выберите Microsoft Entra ID.
- Выберите следующие группы: ,,>,и все группы.
- На странице Все группы выберите группу, из которой нужно удалить метку.
- На странице группы выберите Свойства.
- Выберите Удалить.
- Выберите Сохранить, чтобы применить изменения.
Использовать классические классификации Microsoft Entra
После включения этой функции классификации классических групп отображаются только на существующих группах и сайтах. Их следует использовать только в том случае, если вы создаете группы в приложениях, которые не поддерживают метки конфиденциальности. При необходимости ваш администратор может преобразовать их в метки конфиденциальности. Классические классификации — это старые классификации, настроенные путем определения значений для параметра ClassificationList
в Azure AD PowerShell. Если эта функция включена, эти классификации не применяются к группам.
Заметка
Модули Azure AD и MSOnline PowerShell устарели с 30 марта 2024 г. Дополнительные сведения см. в обновлении об отмене. После этой даты поддержка этих модулей ограничена поддержкой миграции в пакет SDK Для Microsoft Graph PowerShell и исправления безопасности. Устаревшие модули будут продолжать функционировать до 30 марта 2025 года.
Мы рекомендуем перейти на Microsoft Graph PowerShell для взаимодействия с идентификатором Microsoft Entra (ранее — Azure AD). Для получения ответов на распространенные вопросы о миграции см. Migration FAQ. Примечание. Версии 1.0.x MSOnline могут испытывать сбои после 30 июня 2024 года.
Устранение неполадок
В этом разделе приведены советы по устранению распространенных проблем.
Метки конфиденциальности недоступны для назначения на группу
Параметр метки конфиденциальности отображается только в том случае, если выполняются все следующие условия:
- У организации есть активная лицензия Microsoft Entra ID P1.
- Эта функция включена и
EnableMIPLabels
имеет значение True в модуле Microsoft Graph PowerShell. - Метки конфиденциальности публикуются на портале Microsoft Purview или на портале соответствия Microsoft Purview для организации Microsoft Entra.
- Метки синхронизируются с идентификатором Microsoft Entra с командлетом
Execute-AzureAdLabelSync
в модуле Security & Compliance PowerShell. После синхронизации может потребоваться до 24 часов, чтобы метка стала доступна в Microsoft Entra ID. - Область метки конфиденциальности
должна быть настроена для групп & сайтов. - Группа — это группа Microsoft 365.
- Текущий пользователь, вошедший в систему:
Убедитесь, что выполнены все предыдущие условия, чтобы назначить метки группе.
Метка, которую вы хотите назначить, отсутствует в списке
Если метка, которую вы ищете, отсутствует в списке:
- Метка может быть не опубликована на портале Microsoft Purview или на портале соответствия Microsoft Purview. Кроме того, метка больше не будет опубликована. Обратитесь к администратору для получения дополнительной информации.
- Метка может быть опубликована, но она недоступна пользователю, вошедшему в систему. Чтобы получить дополнительную информацию о доступе к метке, обратитесь к администратору.
Изменение метки в группе
Метки можно переключить в любое время, выполнив те же действия, что и назначение метки существующей группе:
- Войдите в центр администрирования Microsoft Entra с правами администратора групп.
- Выберите Microsoft Entra ID.
- Выберите Группы>все группы, а затем выберите группу, которую нужно пометить.
- На странице выбранной группы выберите Свойства и выберите новый ярлык конфиденциальности из списка.
- Выберите Сохранить.
Изменения настроек группы для опубликованных меток не обновляются на группах
При внесении изменений в параметры группы для опубликованной метки на портале Microsoft Purview
Если необходимо внести изменения, используйте скрипт PowerShell , чтобы вручную применить обновления к затронутым группам. Этот метод гарантирует, что все существующие группы применяют новый параметр.